Antivirenprogramme - wie sie arbeiten, was sie taugen

Virenalarm

∅ 3.7 / 3 Bewertungen

Virenalarm

Virenscanner - welchen nehmen?

Verschiedene Computermagazine, z. B. die Zeitschrift c't, nehmen regelmäßig Vergleichstests der Virenscannersoftware vor. Ein klarer Favorit ist dabei unter den großen Antivirus-Anbietern genauso wenig auszumachen wie ein abgeschlagener Verlierer. In der Paradedisziplin, der Suche nach bekannten und in der Realität verbreiteten Computerviren (Wildlist), schneiden auch die schlechtesten Kandidaten mit 99,9 % Erkennungsleistung ab. Eine Vorhersage, wie (und wie schnell) die Scannersoftware auf zukünftige Schädlinge reagieren wird, lässt sich daraus aber leider nicht ableiten.

Umso wichtiger ist die korrekte Einstellung des Scanners:

  • Ein häufiges (möglichst tägliches) Update ist obligatorisch!

  • Die richtige Scan-Methode heißt "on-access". (Das bedeutet, der Virensucher arbeitet permanent. Das Gegenteil wäre "on-demand", also erst auf direkte Anforderung des Nutzers. Leider verwenden die Antivirus-Hersteller teilweise eigene Begriffe, wie z. B. "Guard" (on-access) oder "Scanner" (on-demand).

  • Wenn es die Systemleistung ermöglicht, kann es sinnvoll sein, alle Dateien zu scannen, nicht nur die vorgeschlagenen ausführbaren Dateien.

  • Manche Scanner lassen sich so einstellen, dass sie auch so genannte "potentiell gefährliche Software" (je nach Hersteller: "Riskware", "potentially unwanted programs" oder plakativer "Hackertools" genannt ) erkennen. Dies eröffnet eine riesige Grauzone mit Software, die nicht unmittelbar schädlich sein muss, jedoch meist unerwünscht ist. Eine derartige Einstellung kann sinnvoll sein, allerdings steigt das Risiko von falschem Alarm.

Doppelt hält nicht besser:

Der gleichzeitige Betrieb mehrerer Scanner funktioniert in der Regel nicht, weil jeder Scanner die Signaturendatei des anderen als Virus meldet.

Funktionskontrolle des Virenscanners

Eine Funktionskontrolle des Virenscanners lässt sich mit einem einfachen Trick erreichen: Dazu kopiert man die harmlose Zeichenfolge

X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H*

an den Anfang einer Textdatei und benennt die Dateiendung nach .exe um. Sofort muss ein Virus erkannt werden. Diese Prozedur ist vom "European Institute for Computer Antivirus Research" entwickelt und die dazugehörige Signatur sollte von jedem Antivirusprogramm erkannt werden.
Leider macht dieser einfache Test keine Aussage zur Qualität des Scanners!

Virenalarm

Gibt es Virenalarm beim Herunterladen einer Datei oder beim Öffnen eines E-Mail-Anhangs, könnte alles noch einmal gut gegangen sein. Der Virenscanner hätte seinen Dienst getan und die richtige Reaktion wäre, die Datei im Zweifelsfall direkt zu löschen.

Sollte der Virenalarm unter nichtreproduzierbaren Umständen häufiger auftreten, ist das Risiko hoch, dass das System bereits verseucht ist. Meist funktioniert zu diesem Zeitpunkt auch der Virenscanner nicht mehr richtig, da die Malware zuerst versucht, seine Funktion zu beeinträchtigen. Deshalb ist es auch gar nicht selten, dass befallene Systeme nur durch ein "merkwürdiges" Systemverhalten (hängende Anwendungen, langsame Arbeitsgeschwindigkeit usw.) auffallen, aber keinen Virus melden. Zu diesem Zeitpunkt ist der PC bereits zur "Bananenrepublik" geworden. Die eigenen Sicherheitssysteme sind längst korrupt.

Auch wenn es Beispiele für gelungene Rettungen von PC gibt, dürfte ein Neuaufbau des Systems (ggf. aus einem Backup) die bessere Lösung sein.

Immerhin gibt es eine Möglichkeit, sich zu vergewissern, welcher Schädling der Urheber des Dilemmas war. Bei der Gelegenheit können auch noch vorhandene Daten (aber keine Programme) in Sicherheit gebracht werden, wobei eine derartige Sicherung eher Profiarbeit ist. Man verwendet zu diesem Zweck eine so genannte Live-CD. Auf dieser CD befindet sich ein komplettes Betriebssystem inklusive Virenscanner. Da die Betriebssystemfunktion von der CD betrieben wird, kann sich auf der Festplatte gespeicherte Malware nicht destruktiv auswirken.

"Desinfec't"

Einen guten Ruf unter den Live-CDs hat das jährlich im Oktober vom Computermagazin c't herausgegebene "Knoppicillin" (seit 2009: "Desinfec't") - ein Linux-Derivat, das in der aktuellen Fassung gleich mit 3 Virenscannern aufwartet. Nach dem Boot von CD nimmt Desinfec't über das Internet ein Update der Signaturdateien vor, um dann eine Virenprüfung auszuführen. Man kann befallene Dateien auch automatisch löschen lassen, wobei dies in der Regel zum Totalschaden (des ohnehin verseuchten) Systems führt.

Fazit

Virenscanner gelten heute als zentraler Baustein der Computersicherheit - und werden dabei überschätzt!

So wird gern übersehen, dass dieses Schutzschild - das konzeptbedingt immer erst in letzter Sekunde wirkt - alles andere als perfekt funktioniert und dabei nicht unerhebliche Kosten und einiges an Disziplin beim Update erfordert.

Niemand wird in seinem Haus, im Vertrauen auf Polizei oder Sicherheitsdienst, seine Haustür unverschlossen und alle Fenster weit geöffnet lassen. Ebenso sollte man auch auf dem Computer präventive Maßnahmen, allen voran eingeschränkte Benutzerrechte (Sicherheitsberechtigungen), in den Vordergrund stellen und die Antivirensoftware nur als letzten Rettungsring betrachten. Ob allein dafür der Aufwand gerechtfertigt ist, muss von Fall zu Fall entschieden werden.

Mit zusätzlichen Sicherheitsmaßnahmen kann man mindestens bei Systemen ohne wichtige Daten oder auf Computern, die nicht als Websurfstation oder Maildrehscheibe dienen, durchaus auf eine permanente Überwachung durch Virenscanner verzichten.

Kleine Artenkunde der Computerschädlinge

Malware: Sammelbegriff für schädliche Software. Der Begriff kommt von Malicious Software (englisch: bösartige Software).

Viren: Sich selbst vermehrende Programme, die sich in fremden Programmcode einschleusen und von diesen Wirtsprogrammen abhängig sind. Charakteristisch ist der Vervielfältigungs- und Verbreitungsmechanismus. Echte Viren sind inzwischen nicht mehr sehr weit verbreitet und wurden durch andere Techniken, z. B. Würmer und Trojaner ersetzt.

Würmer sind die moderneren "Viren". Sie verbreiten sich aktiv über fehlerhafte Netzwerkdienste, indem sie Designfehler ausnutzen oder nach Diensten mit Standardpasswort suchen. Eine zu infizierende Datei wird nicht oder nicht zwingend benötigt.

Trojaner: Software, die vorgibt, etwas Nützliches zu tun, aber tatsächlich das System kompromittiert. (Man erinnere sich an den griechischen Mythos vom Trojanischen Pferd, mit dessen Hilfe Troja erobert worden sein soll.) Oft installieren Trojaner kleine Serverprogramme als "Hintertür", so dass der PC später über das Internet gesteuert oder ausgelesen werden kann. Häufig wird auch diese Hintertür selbst als Trojaner bezeichnet.

Backdoor: (englisch: "Hintertür", siehe "Trojaner")

Rootkit: (eigentlich englisch: "Administrator-Ausrüstung", wobei nicht der echte Systemadministrator gemeint ist, sondern eine zweite Person, die sich diese Rechte erschlichen hat.) Rootkits könnte man auch als "Meister des Verstecks" bezeichnen. Das System wird gezielt bearbeitet, so dass die schädliche Software mit Bordmitteln nicht mehr gefunden werden kann. Das System bekommt sozusagen einen "blinden Fleck". Installierte Rootkits sind äußerst schwer zu finden. Virenscanner versagen hier meist. Traurige Berühmtheit haben Rootkits dadurch erworben, dass das Medienunternehmen Sony BMG im Jahr 2005 erstmals Audio-CDs mit Rootkit-Technologie versehen hatte, um automatisch ein Kopierschutzprogramm auf die PC der Kunden zu installieren und zu verstecken. Die dadurch geschaffene Sicherheitslücke wurde später von bösartiger Backdoor-Software ausgenutzt.

Exploit: (englisch: "ausnutzen", aber auch "Heldentat"): Malware, die gezielt Designschwächen eines Programms ausnutzt. Wird eine derartige Programmschwachstelle öffentlich bekannt, dauert es in der Regel nicht lange, bis ein "passendes" Exploit entwickelt wird. Geschieht dies noch am gleichen Tag, spricht man von einem "Zero Day Exploit".

Spyware: Software, die persönliche Daten des Nutzers an den Hersteller oder an Dritte sendet. Der Begriff kommt von Spy und Software (englisch: Spion-Software). Ähnlich einem Trojaner, kommt Spyware meist als nützliche Software, die die Spionagefunktion als Nebenwirkung mitbringt. Neuere Spyware holt sich dafür im allgemeinen das Einverständnis des Nutzers durch eine entsprechende Erklärung im Lizenzvertrag. Da der Nutzer formal zugestimmt hat, darf die Software nicht ohne weiteres als Malware klassifiziert werden. Aus diesem Grund wird Spyware nicht von allen Virenscannern erkannt. In anderen Fällen muss die Spywaresuche (potentially unwanted software) explizit zugeschaltet werden.

Links und Literatur

... umfassende Linkliste zum Thema

... Auflistung der tatsächlich gemeldeten Virenfunde

... Nachrichten zum Thema Computerviren und monatliche Top 20 (Kaspersky)

... leicht lesbare und umfassende Analyse des Gefahrenpotentials durch Malware aus dem Internet